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I Procede de transmission d' inform at ion confidentielle entre deux cartes a puces. 



57) L'invention conceme la transmission cryptee d'une in- 
lation (Kd) entre deux cartes a microprocesseur (CM, 
CP). On crypte ('information dans la premiere carte, on 
transmet rinformation cryptee de la premiere carte a la 
deuxieme, at on decrypte rinformation dans la deuxieme 
carte. La particularite de I'invention est que Ton utilise une 
cle de cryptage puisee dans une reserve de cles potentiel- 
les qui est constituee par la memoire morte (120 pour CM, 
220 pour CP) de la carte. Pour que les deux cartes puis- 
sent utiliser la meme cle sans faire transiter cette cle en 
clair entre les deux cartes, on utilise un index, engendre 
par la premiere carte et transmis a la deuxieme carte. La 
cle est le contenu du fichier de memoire morte a I'adresse 
definie par Tindex. 

Application a la transmission d'une cle secrete (Kd), di- 
versifiee a partir d'une cle de base (KF), entre une carte de 
diversification (CM) et une carte a personaliser (CP). 
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PROCEDE DE TRANSMISSION D 1 INFORMATION CONFIDENTIELLE 
ENTRE DEUX CARTES A PUCES 



L 1 invention concerne la securite dans les 
applications des cartes a puces. Plus precisement elle 
concerne la transmission securisee d 1 informations entre 
deux cartes a puces. 
5 On decrira 1' invention a propos d*un cas 

particulier, bien que l 1 invention ait des applications 
plus generales. Ce cas particulier est celui de 
1 ■ elaboration de cles de cryptage secretes, diversifiees 
a partir d'une cle de base, qui doivent etre placees 

10 dans des cartes a puces qu'on veut utiliser dans une 
application determinee. 

Pour une application determinee, application 
bancaire par exemple, I'emetteur de cartes a puces (la 
banque par exemple) va distribuer une carte a chaque 

15 client. Cette carte devra comporter dans sa memoire 
interne une cle de cryptage secrete, non connue et non 
accessible meme par le titulaire de la carte. Cette cle 
servira a crypter la transmission d 1 informations entre 
la carte et l'appareil de transaction qui va utiliser la 

2 0 carte. L'appareil de transaction conn^itra la cle 
secrete, pour pouvoir decrypter la transmission. 

La cle secrete sera differente pour chaque carte, 
et c'est pourquoi elle est appel^e cle diversifiee* 

II est done necessaire, a un certain stade de 

25 l 1 elaboration des cartes, de placer une meme cle secrete 
a la fois dans la carte £'un titulaire et dans 
l'appareil de transaction (ou dans le systeme 
informatique general qui pilote les appareils de 
transaction) . II y a done nec4ssite de transmettre une 

30 information conf identielle d'urj organe a un autre. 
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Cette operation est delicate car il y a un risque 
qu'une personne ctiargee de ce travail et pouvant done 
avoir de ce fait acces aux cles secretes, ne s'en serve 
pour r^aliser frauduleusement des cartes ayant toutes 



Evidemment on peut crypter & nouveau la 
transmission de 1 1 information conf identielle, Mais pour 
cela il faut une cle de cryptage et cette cle doit aussi 
etre transmise. On n*a fait que reporter le probleme. 



diversifiee pour une application a utilisateurs 
multiples est la suivante : on utilise deux cartes a 
puces semblables, dont l f une est une carte maitresse 
chargee d § elaborer et eventuellement de garder en 

15 memo ire la cle diversifiee, et l 1 autre est une carte 
esclave ou carte a personnaliser , devant recevoir dans 
sa memo ire la cle secrete diversifiee qu'elle devra 
utiliser par la suite pour des operations 
d'autbentif ication. La carte maitresse pourra servir a 

20 transporter, vers les appareils de transaction ou vers 
le systeme qui les gere, la liste djes cles diversifiees 
autorisees . 

Dans cette technique, la carte maitresse contient 
un microprocesseur avec une memo ire de programmes, et 

25 dans cette memoire un programme d f elaboration de cle 
diversifiee* Mais comme la cle diversifiee ne doit pas 
circuler en clair entre les deux cartes (pour eviter les 
fraudes) , la carte comprend aussi un programme de 
cryptage pour envoyer la cle diversifiee sous une forme 

30 indectiif frable. La cle diversifiee est done calculee, 
puis cryptee; le resultat du cryptage est envoye a la 
carte a personnaliser * 

La carte a personnaliser contient aussi un 
microprocesseur et une memoire de programmes, et dans 



5 



les capacites des cartes legitimes. 
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Par exemple, une technique de production d'une cle 
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cette memo ire un programme de decrypt age permettant de 
retrouver la cle diversif iee a partir du signal crypte 
qu'elle regoit. 

Le programme de cryptage utilise une cle secrete de 
5 cryptage qui, bien entendu, doit r ester conf identielle, 
faute de quoi une reconstitution de cles divers if iees 
serait possible , entralnant le risque de production 
frauduleuse de cartes. 

Mais le programme de decryptage doit connaitre 

10 cette cle, faute de quoi il ne pourrait pas reconstituer 
la cle diversif iee qu'il attend. II faut done que la 
carte a personnaliser contienne, dans une zone de 
memoire inaccessible, cette meme cle de cryptage. Et par 
consequent il faut qu'a .un moment ou un autre du precede 

15 de cryptage on place dans les deux cartes a la fois une 
meme cle de cryptage, qui ne sert que provisoirement 
pour envoyer de la carte maitresse vers la carte a 
personnaliser la cle diversif iee. 

II y a done un risque qu'une personne mal 

20 intentionnee utilise la connaissance qu'elle a de cette 
cle pour reconstituer a des fins f rauduleuses tout le 
processus de fabrication d'une cle divers if iee. Cette 
personne pourrait alors realiser de fausses "vraies 
cartes". 

25 Le but de 1* invention est d'eviter ce risque par un 

moyen relativement simple. 

Selon 1" invention, on utilise le fait que la carte 
maitresse et la carte a personaliser ont dans leur 
memoire morte des programmes ou des portions de 

3 0 programmes identiques, ne serait-ce que parce qu'elles 
sont faites par le meme fabricant, ou parce qu'elles ont 
un systeme d 1 exploitation identique ou parce qu^lles 
respectent des criteres de normalisation identiques. 
Dans la pratique, la memoire morte des deux cartes sera 
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meme rigoureuseiaent identique. 

L 1 idee maitresse de 1 9 invention est d 1 utiliser 
comme cle de cryptage commune aux deux cartes une donnee 
prise parmi un fichier (et de preference le fichier de 
5 memoire moirte du systeme d 1 exploitation de la carte) 
dont le contenu et 1 1 organisation sont identiques dans 
les deux cartes , la donnee etant designee a partir d'un 
index transmis d f une carte a I 1 autre et susceptible de 
var ier . 

10 Par consequent, au lieu d' avoir a inscrire dans 

deux cartes dif ferentes une cle de cryptage commune avec 
le risque que cette inscription double permette ensuite 
une fraude, on utilise comme cle de cryptage un contenu 
deja inscrit mais inconnu a priori et pouvant var ier 

15 d'une operation a une autre. Si de plus l'adresse a 
laquelle on va chercher ce contenu varie de maniere 
aleatoire, on aboutit & une tres grande securite. 

Selon un aspect de l 1 invention, on propose done un 
precede de transmission cryptee d'une information entre 

20 deux cartes a microprocesseur qui ont chacune un fichier 
de memoire a plusieurs adresses, ce fichier ayant un 
contenu identique pour les deux cartes, procede dans 
lequel on crypte 1 1 information dans la premiere carte, 
on transmet 1 ' information cryptee de la premiere carte a 

25 la deuxieme, et on decrypte 1 1 inf ormation dans la 
deuxieme carte, ce procede etant caracterise en ce que 
le cryptage et le decryptage sont effectues avec pour 
cle le contenu d'une partie seulement du fichier de 
memoire, identifiee par une donnee d'adressage qui est 

30 utilisee par la premiere carte et transmise a la 
deuxieme carte. 

La donnee d 1 adressage peut etre une adresse 
proprement dite, mais de preference elle sera plutot un 
index a partir duquel on peut calculer une adresse* Les 
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deux cartes possedent alors en memoire le meme programme 
de calcul d'une adresse a partir d'une valeur d' index. 

Selon un aspect important de l 1 invention, c'est la 
memoire morte de la carte, celle qui contient le systeme 
5 d' exploitation de la carte qui va etre utilisee. Elle 
constitue en ef fet un f ichier dans lequel on peut puiser 
un grand nombre de cles (chaque cle correspondant par 
exemple a un mot ou plusieurs mots consecutifs de 
memoire) . 

10 L 1 invention est applicable notamment mais non 

exclusivement au cas evoque dans le preambule, a savoir 
le cas ou 1 « information a transmettre de maniere cryptee 
entre les deux cartes est elle-meme une cle de cryptage; 
et notamment lorsque cette information est une cle 

15 diver sifiee qui doit etre calculee par la premiere carte 
et stockee de maniere conf identielle dans la deuxieme. 

Une maniere de mettre en oeuvre l 1 invention 
consiste a utiliser, pour chaque operation de 
transmission cryptee entre les deux cartes, un 

20 generateur de donnee aleatoire interne a l f une des 
cartes (de preference la premiere) ; ce generateur 
fournira une donnee non previsible pouvant servir 
d' index pour le calcul d'une adresse de memoire de 
chaque carte* Cet index aleatoire permet^ra de definir 

25 une cle de cryptage; il sera utilise par la premiere 
carte pour crypter la transmission, et 11 sera envoye a 
la deuxierae carte en meme temps que 1 1 information 
cryptee pour permettre le decryptage. Lors d'une 
nouvelle operation, le generateur aleatoire fournira une 

3 0 autre adresse de memoire. 

D'autres caracteristiques et avantages de 
1* invention apparaitront a la lecture de la description 
detaillee qui suit et qui est faite en reference aux 
dessins annexes dans lesquels : 
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- la figure 1 represente un systeme de 
diversification de cle dans lequel la presente invention 
peut etre mise en oeuvre; 

- la figure 2 represente schematiquement les deux 
5 cartes du systeme; 

- la figure 3 represente les etapes principales du 
procede de transmission securisee de I 1 invention. 

L 1 invention est applicable de maniere generale a la 
transmission d 1 information cryptee entre deux cartes 

10 ayant chacune au moins une memo ire figee dont le contenu 
est commun aux deux cartes; la description qui suit sera 
donnee en reference a l'exemple particulier de la 
transmission d'une cle diversifiee entre une carte 
maitresse et une carte a personaliser avec une cle 

15 diversifiee ♦ 

A la figure 1 on a done represente un systeme 
capable de recevoir deux cartes et de permettre un 
dialogue entre les deux cartes. Le systeme peut etre un 
microordinateur a usage general PC avec un clavier CL, 

20 un ecran SC et deux lecteurs de cartes LCI et LC2 , ou 
bien ce peut etre un systeme specialement con?u pour 
l 1 operation de diversification, II doit pouvoir realiser 
la transmission d 1 informations entre deux cartes a 
puces . 

25 L f une des cartes est la carte maitresse CM; 1' autre 

est la carte a personaliser CP. 

Les deux cartes sont des cartes a microprocesseur , 
comportant un microprocesseur , une memo ire vive de 
travail (RAM) , une memoire morte de programmes (ROM) 

3 0 contenant au moins le systeme d* exploitation de la 
carte, et une memoire non volatile electriquement 
inscriptible (EPROM ou EEPROM ou Flash EPROM) . Cette 
derniere memoire contient en principe des programmes 
d 1 application, mais elle peut contenir aussi d'autres 
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donnees, et notamment des numeros d 1 identification, et 
la cle secrete diversifiee qu'on va cherciier a y mettre. 

Classiquement, certaines zones de la memoire non 
volatile inscriptible electriquement sont non 
5 access ibles en lecture et en ecriture, sauf par le 
microprocesseur dans certains programmes du systeme 
d* exploitation. 

Le contenu de la memoire morte de programmes n'est 
d'ailleurs pas accessible sur les bornes exterieures de 
10 la carte. Seul le microprocesseur peut aller le 
chercher, uniquement lors de certains programmes du 
systeme d 1 exploitation. 

Sur la figure 2 on a represents les deux cartes 
^ sous forme schematique, avec leur microprocesseurs (MP1 

15 pour la carte maitresse, MP2 pour la carte a 
f personaliser) , leur memoire vive (110, 210) leur memoire 

et xin interface de communication avec I'exterieur (140, 
240) . 

2 0 L 1 elaboration de la cle diversifiee, a placer a la 

fois dans la memoire non volatile de la carte a 
personaliser et dans la m&noire non volatile de la carte 
maitresse, se fait comme suit : 

Une donnee NS est envoyee par , la carte a 
25 personaliser CP a la carte, maitresse CM. Cette donnee 
peut etre le niimero de serie de la carte, inscrit dans 
sa memoire non volatile 230. 

Cette donnee sert a 1 ' elaboration de la cle 
diversifiee Kd qu'on veut elaborer. 

3 0 Par exemple, la valeur Kd test elaboree a partir de 

NS par une fonction de cryptage a cle secrete C(NS,KF) 
ou KF est une cle secrete ;Contenue dans la carte 
maitresse. Le programme de calcjul de cette fonction est 
contenu dans la memoire de la carte MP et est execute 
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par le microprocesseur de cette carte. La fonction C() 
est de preference l f algorithme standard DES ("Data 
Encryption Standard") publie par le National Bureau of 
Standards des USA, dans Federal Register vol 40, N°52 du 
5 17 Mars 1975 et N° 149 du ler Aotlt 1975, 

La cle diversifiee Kd a mettre dans la carte a 
personaliser est done Kd = C(NS,KF) . Elles est destinee 
a etre transmise a la carte a personaliser, mais par 
ailleurs elle peut etre enregistree dans la carte 
10 maltresse, ou etre envoyee par tout moyen a 
l f application dans laquelle la carte sera utilisee. La 
carte maltresse peut elle-meme servir de vecteur de 
transmission vers un ordinateur central de cette 
application, 

15 Dans certains cas, il n'est meme pas necessaire de 

conserver la cle Kd autrement que dans la carte a 
personaliser. C'est le cas lorsque 1" application ne 
etierche pas a verifier precisement chaque cle 
diversifiee mais cherche tout simplement a verifier si 

20 la cle presente dans la carte est bien une cle 
diversifiee a partir d'une cle de base KF determinee. 

Pour ne pas transmettre en clair la cle Kd a la 
carte a personaliser on procede de la maniere indiquee 
ci-apres . 

25 Un index I de valeur aleatoire, non repetitive 

d'une etape de diversification de cle a une autre est 
elabore . 

Sommairement , on peut creer cet index a partir d'un 
generateur pseudo-aleatoire physique, ou avec un 
3 0 programme contenu dans la memoire de la carte maltresse; 
ce programme peut utiliser le contenu d'un registre non 
volatile increments a chaque nouvelle operation et une 
fonction de cryptage telle que l'algorithme DES, 
eventuellement avec la meme cle secrete KF deja utilisee 
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precedemment ou avec n f importe quelle autre cle. Le 
nombre ainsi genere peut etre considere comme aleatoire 
et non repetitif pour les besoins pratiques. 

L 1 index de valeur aleatoire I va servir a calculer 
une adresse de memoire morte. Pour augmenter la 
securite, on prefere ne pas utiliser directement l 1 index 
comme adresse ou come saut d* adresse. Mais on effectue 
un calcul, par exemple une fonction polynomiale, pour 
generer une adresse AD = P(I) . On s» arrange pour que 
cette adresse reste contenue dans des limites telles que 
n'importe quelle adresse ainsi generee designe un mot de 
memoire d ? un f ichier identique dans les deux cartes. 

Le programme de calcul de l f adresse AD a partir de 
I est contenu dans une memoire de la carte maltresse, 
mais aussi dans une memoire de la carte a personaliser . 

L 1 index I sera transmis en clair a la carte a 
personaliser . 

L f adresse AD est utilisee par le microprocesseur 
qui va lire dans la memoire de la carte, a 1' adresse AD, 
un contenu qui sera considere comme une cle de cryptage 
Kc pour une fonction de cryptage D(Kd,Kc) de la cle de 
diversification Kd. 

Le f ichier choisi pour servir ainsi de reserve de 
cles de cryptage est le f ichier de memoire morte, celui 
qui contient le systeme d' exploitation de la memoire, 
car d f une part il est identique pour les deux cartes, et 
d 1 autre part il contient suffisamment de mots pour 
constituer une reserve de nombreuses cles de cryptage 
possibles. 

Le programme de cryptage D() qui va utiliser la cle 
trouvee a l 1 adresse AD est contenu dans la memoire de la 
carte maltresse; il est execute et le resultat D(Kd,Kc) 
est transmis a la carte a personaliser en meme temps que 
1 1 index I . 
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La carte a personaliser regoit 1' index I, execute 
la meme fonction polynomiale, qu'elle a en memoire 
(morte ou non volatile), determine l'adresse AD, va 
chercher son contenu qui est le meme contenu Kc que dans 
5 l 1 autre carte du fait que la zone de memoire designee 
est identique dans les deux cartes. 

La carte a personaliser comporte par ailleurs un 
programme de decryptage D~l() qui est 1* inverse du 
programme de cryptage D() et qui permet done de 
10 retrouver Kd en utilisant la meme cle Kc qui a servi a 
crypter Kd. 

Autrement dit, si U = D (Kd, Kc) , alors 

Kd = D~l(U,Kc) . 

La cle diversifiee Kd est done retrouvee, et 
15 stockee dans la memoire non volatile de la carte a 
personaliser (zone inaccessible, e'est-a-dire ne pouvant 
pas etre utilisee autrement que par le microprocesseur 
pour les besoins des f onctions de cryptage) . 

La cle diversifiee Kd peut egalement etre stockee 

2 0 dans la memoire de la carte maitresse CM, 

Seul a transite en clair efttre les deux cartes 
1* index I. Celui-ci represente non pas un cryptage reel 
mais une dissimulation de l'adresse AD* 

Mais meme si un fraudeur arrivai/t a connaitre 
25 l'adresse AD qui a servi au moment du cryptage, il faut 
comprendre que. 

- d f une part, le fraudeur ne connait pas le contenu 
du fichier (inaccessible) qui est utilise comme reserve 
de cles; 

3 0 - d' autre part, l f index et done I'adresse AD sont 

renouveles a chaque fois d'une maniere aleatoire et par 
consequent 1 1 observation d f une transmission ne permet 
pas de deduire des enseignements pour une proctiaine 
fois . 
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La figure 3 rappelle les principales etapes de ces 
operations . 

On pourrait envisager d'utiliser comme memoire 
commune aux deux cartes non pas la memoire morte de 
programme de systeme de la carte mais une memoire 
electriquement programmable (non accessible en ecriture 
effacement ou lecture) pourvu qu'elle ait un contenu 
identique pour les deux cartes. 

La cle de cryptage Kc trouvee a l'adresse AD peut 
etre constitute par un mot a cette adresse f ou plusieurs 
mots consecutifs debutant a l'adresse AD, ou encore une 
fraction du mot a l'adresse AD. On peut aussi envisager 
des solutions plus complexes de choix de la cle §l partir 
de l'adresse AD : par exemple, la cle peut etre 
constitute par le premier bit de x mots success if s a 
partir de l'adresse AD. 
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REVINDICATIONS 



1. Procede de transmission cryptee d f une 
information (Kd) entre deux cartes a microprocesseur 
(CM, CP) qui ont chacune un fichier de memoir e (120, 
22 0) a plusieurs adresses, ce fichier ayant un contenu 
identique pour les deux cartes, procede dans lequel on 
crypte 1 1 information dans la premiere carte, on transmet 
1 1 information cryptee de la premiere carte a la 
deuxieme, et on decrypte 1 1 information dans la deuxieme 
carte, ce procede etant caracterise en ce que le 
cryptage et le decrypt age sont effectues avec pour cle 
(Kc) le contenu d'une partie seulement du fichier de 
memoire, identifiee par une donnee d f adressage (I) 
commune qui est utilisee par la premiere carte et 
transmise a la deuxieme carte, 

2. Procede de transmission cryptee selon la 
revendication 1, caracterise en ce que les cartes sont 
des cartes a microprocesseur comportant une memoire 
morte de programmes dont le contenu est notamment un 
systeme d 1 exploitation de la carte, et en ce que le 
fichier de memoire commun utilise comme reserve de cles 
de cryptage est la memoire morte de chacune des cartes* 

3. Procede selon l'une des revendications 1 et 2, 
caracterise en ce que la donnee d'adressage transmise de 
a la deuxieme carte est un index (I) permettant de 
calculer une adresse (AD) , et en ce que les deux cartes 
comportent en memoire un meme programme de calcul P(I) 
pour calculer une adresse a partir de l f index, 

4 . Procede selon la revendication 3 , caracterise 
en ce que 1 1 index est elabore dans la premiere carte* 

5* Procede selon l'une des revendications 3 et 4, 
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caracterise en ce que 1' index est elabore de maniere 
aleatoire, par un generateur pseudo-aleatoire ou un 
programme de calcul d f un nombre aleatoire. 

6. Procede selon l'une des revendications 3a 5, 
caracterise en ce que l f adresse est calculee par une 
fonction polynomiale a partir de l 1 index. 

7. Procede selon l'une des revendications 
precedentes, caracterise en ce que la premiere carte est 
une carte de calcul d f une cle de cryptage diversifiee 
(Kd) , cette cle etant destinee a etre stockee dans la 
deuxieme carte qui est une carte & personaliser , en ce 
que 1 1 information a transmettre est cette cle (Kd) , et 
en ce que la premiere carte envoie a la deuxieme a la 
fois la donnee d'adressage (I) et la cle diversifiee 
cryptee par une cle (Kc) trouvee dans le f ichier de 
memo ire a partir de la donnee d* adressage. 
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